【文章內(nèi)容簡(jiǎn)介】 結(jié)果匯總部信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求分和問(wèn)題分析部分，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果的能力。e)風(fēng)險(xiǎn)分析能力，指依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題可能對(duì)被測(cè)評(píng)系統(tǒng)安全造成的影響的能力； 測(cè)評(píng)機(jī)構(gòu)應(yīng)有完備的測(cè)評(píng)工作流程，有計(jì)劃、按步驟地開(kāi)展測(cè)評(píng)工作，并保證測(cè)評(píng)活動(dòng)的每個(gè)環(huán)節(jié)都得到有效的控制。a)測(cè)評(píng)準(zhǔn)備階段，收集被測(cè)系統(tǒng)的相關(guān)資料信息，填寫(xiě)規(guī)范的系統(tǒng)調(diào)查表，全面掌握被測(cè)評(píng)系統(tǒng)的詳細(xì)情況，為測(cè)評(píng)工作的開(kāi)展打下基礎(chǔ)；b)方案編制階段，正確合理地確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并依據(jù)現(xiàn)行有效的技術(shù)標(biāo)準(zhǔn)、規(guī)范開(kāi)發(fā)測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書(shū)、測(cè)評(píng)結(jié)果記錄表格等。測(cè)評(píng)方案應(yīng)通過(guò)技術(shù)評(píng)審并有相關(guān)記錄，測(cè)評(píng)指導(dǎo)書(shū)應(yīng)進(jìn)行版本有效性維護(hù)，且滿足以下要求：l 符合相關(guān)的等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)；l 提供足夠詳細(xì)的信息以確保測(cè)評(píng)數(shù)據(jù)獲取過(guò)程的規(guī)范性和可操作性。c)現(xiàn)場(chǎng)測(cè)評(píng)階段，嚴(yán)格執(zhí)行測(cè)評(píng)方案和測(cè)評(píng)指導(dǎo)書(shū)中的內(nèi)容和要求，并依據(jù)操作規(guī)程熟練地使用測(cè)評(píng)設(shè)備和工具，規(guī)范、準(zhǔn)確、完整的填寫(xiě)測(cè)評(píng)結(jié)果記錄，獲取足夠證據(jù)，客觀、真實(shí)、科學(xué)地反映出系統(tǒng)的安全保護(hù)狀況，測(cè)評(píng)過(guò)程應(yīng)予以監(jiān)督并記錄；d)報(bào)告編制階段，找出整個(gè)信息系統(tǒng)安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，分析差距可能導(dǎo)致被測(cè)評(píng)系統(tǒng)面臨的風(fēng)險(xiǎn)，給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)依據(jù)公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》的格式和內(nèi)容要求編寫(xiě)，測(cè)評(píng)報(bào)告應(yīng)通過(guò)評(píng)審并有相關(guān)記錄。設(shè)施和設(shè)備安全與保障能力 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)，使用的技術(shù)裝備、設(shè)施原則上應(yīng)當(dāng)符合以下條件：a)產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格；b)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)； 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求c)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；d)產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； e)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害。f)信息安全產(chǎn)品應(yīng)獲得公安部計(jì)算機(jī)信息安全產(chǎn)品銷售許可證。 測(cè)評(píng)機(jī)構(gòu)應(yīng)配備滿足等級(jí)測(cè)評(píng)工作需要的測(cè)評(píng)設(shè)備和工具，如漏洞掃描器、協(xié)議分析儀、滲透測(cè)試工具等。測(cè)評(píng)設(shè)備和工具應(yīng)通過(guò)權(quán)威機(jī)構(gòu)的檢測(cè)并可提供檢測(cè)報(bào)告（見(jiàn)附錄《信息安全等級(jí)測(cè)評(píng)設(shè)備和工具指引》）。 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備符合相關(guān)要求的機(jī)房以及必要的軟、硬件設(shè)備，用于滿足信息系統(tǒng)仿真、技術(shù)培訓(xùn)和模擬測(cè)試的需要。 測(cè)評(píng)機(jī)構(gòu)應(yīng)確保測(cè)評(píng)設(shè)備和工具運(yùn)行狀態(tài)良好，并通過(guò)校準(zhǔn)或比對(duì)等手段保證其提供準(zhǔn)確的測(cè)評(píng)數(shù)據(jù)。 測(cè)評(píng)設(shè)備和工具均應(yīng)有正確的標(biāo)識(shí)。質(zhì)量管理能力 管理體系建設(shè) 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立、實(shí)施和維護(hù)符合等級(jí)測(cè)評(píng)工作需要的文件化的管理體系，并確保測(cè)評(píng)機(jī)構(gòu)各級(jí)人員能夠理解和執(zhí)行。，不斷提升自身的測(cè)評(píng)質(zhì)量和管理水平。，明確其質(zhì)量保證的職責(zé)。質(zhì)量主管不應(yīng)受可能有損工作質(zhì)量的影響或利益沖突，并有權(quán)直接與測(cè)評(píng)機(jī)構(gòu)最高管理層溝通。 管理體系維護(hù)，發(fā)現(xiàn)問(wèn)題及時(shí)反饋并采取糾正措施，確保其有效性。測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵守申訴、投訴及爭(zhēng)議處理制度，并應(yīng)記錄采取的措施。規(guī)范性保證能力 公正性保證能力 測(cè)評(píng)機(jī)構(gòu)及其測(cè)評(píng)人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)展客觀、公正、安全的測(cè)評(píng)服務(wù)。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求 測(cè)評(píng)機(jī)構(gòu)的人員應(yīng)不受可能影響其測(cè)評(píng)結(jié)果的來(lái)自于商業(yè)、財(cái)務(wù)和其他方面的壓力。 可信與保密性保證能力，且無(wú)犯罪記錄。 測(cè)評(píng)機(jī)構(gòu)應(yīng)通過(guò)提供單位性質(zhì)、股權(quán)結(jié)構(gòu)、出資情況、法人及股東身份等信息的文件材料，證明其機(jī)構(gòu)合規(guī)、產(chǎn)權(quán)關(guān)系明晰，資金注冊(cè)達(dá)到要求（100萬(wàn)元）。 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立并保存工作人員的人員檔案，包括人員基本信息、社會(huì)背景、工作經(jīng)歷、培訓(xùn)記錄、專業(yè)資格、獎(jiǎng)懲情況等，保障人員的穩(wěn)定和可靠。 測(cè)評(píng)機(jī)構(gòu)使用的測(cè)試設(shè)備和工具應(yīng)具備全面的功能列表，且不存在功能列表之外的隱蔽功能。，指派安全保密工作的責(zé)任人。 測(cè)評(píng)機(jī)構(gòu)應(yīng)根據(jù)國(guó)家有關(guān)保密規(guī)定制定保密管理制度，并定期對(duì)工作人員進(jìn)行保密教育，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。測(cè)評(píng)機(jī)構(gòu)應(yīng)明確崗位保密要求，與全體人員簽訂《保密責(zé)任書(shū)》，規(guī)定其應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。 測(cè)評(píng)機(jī)構(gòu)應(yīng)采取技術(shù)和管理措施來(lái)確保等級(jí)測(cè)評(píng)相關(guān)信息的安全、保密和可控，這些信息包括但不限于： a)被測(cè)評(píng)單位提供的資料；b)等級(jí)測(cè)評(píng)活動(dòng)生成的數(shù)據(jù)和記錄； c)依據(jù)上述信息做出的分析與專業(yè)判斷。 測(cè)評(píng)機(jī)構(gòu)應(yīng)借助有效的技術(shù)手段，確保等級(jí)測(cè)評(píng)相關(guān)信息的整個(gè)數(shù)據(jù)生命周期的安全和保密。 測(cè)評(píng)方法與程序的規(guī)范性測(cè)評(píng)機(jī)構(gòu)應(yīng)保證與等級(jí)測(cè)評(píng)工作有關(guān)的所有工作程序、指導(dǎo)書(shū)、標(biāo)準(zhǔn)規(guī)范、工作表格、核查記錄表等現(xiàn)行有效并便于測(cè)評(píng)人員獲得。 測(cè)評(píng)記錄的規(guī)范性a)測(cè)評(píng)記錄應(yīng)當(dāng)清晰規(guī)范，并獲得被測(cè)評(píng)方的書(shū)面確認(rèn)； 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求b)測(cè)評(píng)機(jī)構(gòu)應(yīng)具有安全保管記錄的能力，所有的測(cè)評(píng)記錄應(yīng)保存三年以上。 測(cè)評(píng)報(bào)告的規(guī)范性a)測(cè)評(píng)機(jī)構(gòu)應(yīng)按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》格式出具測(cè)評(píng)報(bào)告；b)測(cè)評(píng)報(bào)告應(yīng)包括所有測(cè)評(píng)結(jié)果、根據(jù)這些結(jié)果做出的專業(yè)判斷以及理解和解釋這些結(jié)果所需要的所有信息，以上信息均應(yīng)正確、準(zhǔn)確、清晰地表述；c)測(cè)評(píng)報(bào)告由測(cè)評(píng)項(xiàng)目組長(zhǎng)作為第一編制人，技術(shù)主管（或質(zhì)量主管）負(fù)責(zé)審核，機(jī)構(gòu)管理者或其授權(quán)人員簽發(fā)或批準(zhǔn)；d)能力評(píng)估合格的測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范》第六條，對(duì)出具的等級(jí)測(cè)評(píng)報(bào)告統(tǒng)一加蓋等級(jí)測(cè)評(píng)機(jī)構(gòu)能力合格專用標(biāo)識(shí)并登記歸檔。風(fēng)險(xiǎn)控制能力 測(cè)評(píng)機(jī)構(gòu)應(yīng)充分估計(jì)測(cè)評(píng)可能給被測(cè)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)包括但不限于以下方面：a)測(cè)評(píng)機(jī)構(gòu)由于自身能力或資源不足造成的風(fēng)險(xiǎn)；b)測(cè)試驗(yàn)證活動(dòng)可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn)； c)測(cè)試設(shè)備和工具接入可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn)；d)測(cè)評(píng)過(guò)程中可能發(fā)生的被測(cè)系統(tǒng)重要信息（如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔等）泄漏的風(fēng)險(xiǎn)等。 測(cè)評(píng)機(jī)構(gòu)應(yīng)通過(guò)多種措施對(duì)上述被測(cè)系統(tǒng)可能面臨的風(fēng)險(xiǎn)加以規(guī)避和控制。可持續(xù)性發(fā)展能力 測(cè)評(píng)機(jī)構(gòu)應(yīng)根據(jù)自身情況制定戰(zhàn)略規(guī)劃，通過(guò)不斷的投入保證測(cè)評(píng)機(jī)構(gòu)的持續(xù)建設(shè)和發(fā)展。 測(cè)評(píng)機(jī)構(gòu)應(yīng)定期對(duì)管理體系進(jìn)行評(píng)審并持續(xù)改進(jìn)，不斷提高管理要求。設(shè)定中、遠(yuǎn)期目標(biāo)（如獲得相應(yīng)管理體系資質(zhì)認(rèn)可），通過(guò)目標(biāo)的實(shí)現(xiàn)，逐步提升質(zhì)量管理能力。 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立文件化的培訓(xùn)制度，以確保其工作人員在專業(yè)技術(shù)和管理方面持續(xù)滿足等級(jí)測(cè)評(píng)工作的需要。 測(cè)評(píng)機(jī)構(gòu)應(yīng)投入專門的力量來(lái)從事測(cè)評(píng)實(shí)踐總結(jié)和測(cè)評(píng)技術(shù)研究工作，測(cè)評(píng)機(jī)構(gòu)間應(yīng)進(jìn)行經(jīng)驗(yàn)交流和技術(shù)研討，保持與測(cè)評(píng)技術(shù)發(fā)展的同步性。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求 測(cè)評(píng)機(jī)構(gòu)能力約束性要求測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)：a)影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全； b)泄露知悉的被測(cè)評(píng)單位及被測(cè)信息系統(tǒng)的國(guó)家秘密和工作秘密；c)故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假，未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告；d)未按規(guī)定格式出具等級(jí)測(cè)評(píng)報(bào)告；e)非授權(quán)占有、使用等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件； f)分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目；g)信息安全產(chǎn)品（專用測(cè)評(píng)設(shè)備和工具以外）開(kāi)發(fā)、銷售和信息系統(tǒng)安全集成； h)限定被測(cè)評(píng)單位購(gòu)買、使用其指定的信息安全產(chǎn)品；i)其他危害國(guó)家安全、社會(huì)秩序、公共利益以及被測(cè)單位利益的活動(dòng)。第四篇：信息安全等級(jí)保護(hù)測(cè)評(píng)TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案 更新時(shí)間:080327 09:37 來(lái)源:硅谷動(dòng)力 作者:中安網(wǎng)？信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國(guó)家信息安全的必要條件。信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開(kāi)始國(guó)家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)），這是我國(guó)第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過(guò)五年努力，基本形成國(guó)家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國(guó)家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國(guó)信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國(guó)信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營(yíng)、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過(guò)程。2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》。2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例等級(jí)保護(hù)的實(shí)施和落實(shí)離不開(kāi)各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來(lái)說(shuō)明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：在等級(jí)保護(hù)理論被提出以后，經(jīng)過(guò)相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過(guò)程如下圖所示：一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國(guó)家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測(cè)評(píng)準(zhǔn)則》中的要求。（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過(guò)努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：由于等級(jí)保護(hù)制度還處于探討階段，目前來(lái)看，尚存在如下困難：“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對(duì)上述問(wèn)題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。需求分析－1問(wèn)題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設(shè)計(jì)方法需求分析－2“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法保護(hù)對(duì)象框架－政府行業(yè)保護(hù)對(duì)象框架－電信行業(yè)保護(hù)對(duì)象框架－銀行業(yè)需求分析－3“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境需求分析－4“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善需求：建立長(zhǎng)效機(jī)制，建立